#3 De Privacy Nieuwsbrief

Beste lezer,

In de vorige editie berichtten we over het niet doorgaan van de e-Privacyverordening. Het thema telecommunicatie blijft echter onverminderd actueel. Zowel het Europees Hof voor de Rechten van de Mens (EHRM) als de Nederlandse strafrechter heeft zich hier intensief mee beziggehouden de afgelopen paar weken, en er is nóg een zaak over het plaatsen van cookies geweest in de afgelopen twee weken.

Opvallend is bij dit alles dat alle drie recente EHRM-arresten met een gegevensbeschermingsrechtelijk aspect gingen over het onrechtmatig onderscheppen, bewaren en gebruiken van telecommunicatie. Hoewel deze zaken niet direct betrekking hadden op Nederland, worstelt ook de Nederlandse rechtspraktijk nog met de vereisten voor het doorzoeken van in beslag genomen telefoons. Dit blijkt bijvoorbeeld uit de megazaak Eris, waar vraagstukken speelden rond de juiste machtigingen voor het doorzoeken van gegevensdragers, en dit alles in de week dat de volledige herziening van het Wetboek van Strafvordering mondeling werd behandeld in de Tweede Kamer.

Dan iets heel anders, maar niet onbelangrijk de aangekondigde herziening van het toetsingsverbod van artikel 120 Grondwet en de oprichting van een constitutioneel hof. De recent aan beide Kamers aangeboden contourennota constitutionele toetsing richt zich vooral op de instelling van dit hof. Hoewel er veel discussie is over het nut van zo'n hof en de (gedeeltelijke) afschaffing van het toetsingsverbod, wil ik toch kort ingaan op de implicaties voor het gegevensbeschermingsrecht.

Voor ons rechtsgebied zal toetsing van wetten aan de grondwet in veel gevallen weinig toevoegen, blijkens ook maar weer de frequente toepassing van artikel 8 EVRM die we in deze editie terugvinden. Desalniettemin zou toetsing aan artikel 10, tweede lid Grondwet wel één unieke waarborg bieden: een verwerking van persoonsgegevens die de persoonlijke levenssfeer raakt, moet berusten op een wet in formele zin - een vereiste dat niet voortvloeit uit artikel 8 EVRM of artikel 8 Handvest. Dat dit niet zonder gevolgen is bleek bijvoorbeeld uit de adviezen van de Afdeling advisering van de Raad van State over de Wet gegevensverwerking door samenwerkingsverbanden.

Als we dan toch bezig zijn met een grondwetswijziging, kan er wellicht ook opnieuw eens gekeken worden naar het voorstel van de Staatscommissie Grondwet die in 2010 unaniem voorstelde om het gegevensbeschermingsrecht in de Grondwet los te koppelen van het privacyrecht, omdat anders het gegevensbeschermingsrecht maar beperkt beschermd is ten opzichte van de bescherming van het grondrecht in het EVRM en EU-grondrechtenhandvest aangezien het moet gaan om een gegevensverwerking die de persoonlijke levenssfeer raakt (p. 81).

Veel leesplezier!

Anna Berlee

🇪🇺 EU rechtspraak

• HvJ EU 13 februari 2025, C‑383/23, ECLI:EU:C:2025:84 (ILVA (Amende pour violation du RGPD)). 
  Artikel: 83(4), (5), (6) en (9) AVG.
  Kort: Het begrip 'onderneming' voor het bepalen van de hoogte van de maximumboete in de AVG komt overeen met hetzelfde begrip in artikelen 101 en 102 VWEU ofwel, in het kader van het mededingingsrecht.

👩‍⚖️ EHRM rechtspraak

• EHRM 18 februari 2025, Appl. nr. 33067/22;37832/22 (CASE OF ROMANCHENKO AND KHARAZISHVILI v. GEORGIA). 
  Artikel: 8 EVRM
  Kort: Telecommunicatie. In deze zaak ging het kort gezegd om het onderscheppen en opnemen van telecommunicatie tijdens een strafrechtelijk onderzoek. Het ging ook hier onder meer om communicatie tussen advocaat en haar cliënt. Hoewel de wet duidelijk en specifiek was (r.o. 52-54), waren er echter onvoldoende waarborgen tegen mogelijk misbruik aanwezig. Er waren onvoldoende details aanwezig die een redelijk vermoeden van het plannen of plegen van een misdrijf konden staven (r.o. 55). Ook blijkt nergens uit het gerechtelijk bevel dat de toetsing van 'noodzakelijk in een democratische samenleving' is getoetst, of enige andere evenredigheidstoets heeft plaatsgevonden (r.o. 56). Het overschrijven van de wettelijke bepaling van de toets is onvoldoende. Met betrekking tot de advocate, dit ging zowel voorafgaand aan het bevel mis (er werd geen melding van gemaakt dat het ging om een advocaat), alsmede achteraf. De enkele melding dat advocaten niet immuun zijn voor surveillance is in het gehele onvoldoende (r.o. 60).
• EHRM 13 februari 2025, Appl. nr. 51409/19 (CASE OF MACHARIK v. THE CZECH REPUBLIC). 
  Artikel: 8 EVRM
  Kort: Telecommunicatie. Veroordeling met name op grond van de inhoud van (historische) emailcommunicatie met een andere veroordeelde. Het gerechtelijk bevel op basis waarvan de informatie verzameld kon worden, werd echter gegeven in een juridisch vacuüm. De bepaling die (volgens een van de nationale instanties, althans, zie r.o. 40) diende als rechtsgrond voor het bevel was kort daarvoor door het constitutioneel hof (op andere gronden dan hier relevant) ongeldig verklaard, en de beoordeling van de rechtmatigheid op grond van de nieuwe nog niet in werking zijnde bepaling op het moment van uitvaardigen van het bevel (zoals enkele andere nationale instanties deden) leverde een schending op van art. 8 EVRM (r.o. 38-39, r.o. 42).
• EHRM 13 februari 2025, Appl. nr. 22790/19;23896/20;25803/20;31352/20 (CASE OF DENYSYUK AND OTHERS v. UKRAINE). 
  Artikel: 8 EVRM.
  Kort: Telecommunicatie. In deze zaak ging het kort gezegd om het onderscheppen van telecommunicatie en het gebruik van audio- en videobewaking tijdens een strafrechtelijk onderzoek. Het ging onder meer om communicatie tussen een advocaat en cliënten. Het EHRM past de criteria zoals ontwikkeld in onder meer Roman Zakharov en Big Brother Watch and Others v. the United Kingdom toe en concludeert dat hoewel er wel enige basis in het recht was voor het gebruik van de surveillancetechnieken (r.o. 94) rechtsgrondslag was, kon bij gebrek aan informatievoorziening aan de betrokkene niet worden afgeleid dat deze deugdelijk onderbouwd waren in de specifieke casus en dat een deugdelijke belangenafweging plaats had gevonden. (r.o. 97-99). Er was ook onvoldoende duidelijk wat de specifieke procedure was en onvoldoende waarborgen omtrent het toezicht op de uitvoering daarvan inzake de vernietiging van vertrouwelijke communicatie tussen advocaat en cliënt, waardoor ook hier een scheiding van art. 8 EVRM werd gevonden. (r.o. 101-114). Zie voor de samenvatting heel mooi r.o. 135.

🇳🇱 Nederlandse rechtspraak

• Gerechtshof Amsterdam 28 januari 2025, ECLI:NL:GHAMS:2025:195 (Geen onrechtmatige perspublicatie Parool over beleid Jeugdbescherming aan de hand van een specifieke casus een een zeer jong kind.)
  Artikelen: 8 en 10 EVRM

Anders dan het kind betoogt vergt het door artikel 8 EVRM beschermde belang van het kind niet dat het Parool wordt geboden dat (...) [de] bedoelde gegevens die, kort samengevat, betrekking hebben op feiten aan de hand waarvan de identiteit van het kind inclusief omgeving volgens het kind zouden kunnen worden herleid, aanpast respectievelijk schrapt. Met de wijze waarop deze gegevens zijn vermeld is voldoende rekening gehouden met het belang van het voorkomen dat tot de persoon van het kind herleidbare gegevens in het publieke domein terecht komen. (r.o. 4.9)

• Rechtbank Rotterdam 11 februari 2025, ECLI:NL:RBROT:2025:1810 (Code 404 - een niet-NL nationaliteit is verwijderd uit de Brp - in de Basisregistratie Personen is een persoonsgegeven en moet verwijderd worden op grond van de AVG.)
  Artikelen: Art. 2.7, 2.58(1) Wet Brp, Het Logisch Ontwerp versie 3.9, art. 17(1)(a) AVG
  Kort: Eiser, geboren in Nederland, heeft in de Basisregistratie Personen (Brp) naast zijn Nederlandse nationaliteit ook de Turkse nationaliteit geregistreerd gekregen zonder medeweten van zijn ouders. Op 31 januari 2015 werd de registratie van de Turkse nationaliteit beëindigd en werd in de Brp een code 404 toegevoegd, verwijzend naar deze beëindiging. Eiser's moeder vroeg vervolgens om verwijdering van alle verwijzingen naar de Turkse nationaliteit in de Brp, maar de gemeente Vlaardingen wees dit verzoek af, waarna eiser beroep aantekende.
  Of de eiser daadwerkelijk ook de Turkse nationaliteit heeft, is irrelevant. (r.o 3.9) Uit de wetsgeschiedenis “volgt immers dat de wetgever wil dat gegevens over een andere nationaliteit dan de Nederlandse niet meer in de Brp zijn opgenomen. Mede uit de reactie op de adviezen van het CBP en de Afdeling advisering van de Raad van State volgt dat de wetgever geen onderscheid wilde tussen bestaande en nieuwe gevallen. Met de werkwijze overeenkomstig het Logisch Ontwerp en de HUP wordt daaraan niet voldaan. Bij inschrijvingen van na 31 januari 2015 is immers niets in de Brp over een andere nationaliteit geregistreerd (zoals bij het broertje en zusje van eiser), terwijl zoals in het geval van eiser, de code bij de historische gegevens verwijst naar een andere nationaliteit. Gelet op de bewuste (latere) keuze van de wetgever gaat dit voor op de regel dat de historie van algemene gegevens, waaronder ook nationaliteit valt, bewaard blijft (Kamerstukken II 2012/2013, 33 219, nr. 3., p. 126).” (r.o. 3.5)
  Is de "code 404" een persoonsgegeven? Ja, “Uit de code valt immers te herleiden dat eiser in de Brp geregistreerd stond met een vreemde nationaliteit, terwijl uit artikel 2.7 van de Wet Brp volgt dat in de Brp geen gegevens over een vreemde nationaliteit worden opgenomen naast gegevens over het Nederlanderschap of het feit dat de betrokkene als Nederlander wordt behandeld. Daarmee is deze codering tevens een persoonsgegeven als bedoeld in de AVG. ” (r.o. 3.7)
  De rechtbank verklaarde het beroep gegrond, vernietigde het besluit van de gemeente Vlaardingen en droeg hen op de Turkse nationaliteit van eiser, inclusief alle verwijzingen, volledig uit de Brp te verwijderen zonder enige vermelding van de beëindiging van de nationaliteit. 

• Rechten van betrokkene
  • Rechtbank Den Haag 19 december 2024, ECLI:NL:RBDHA:2024:23100(Verzoek om inzage bij Stripe teneinde een rechtsvordering in te kunnen stellen tegen een webshop die betaalde goed niet leverde, moet niet op grond van 15 AVG maar via 843a Rv)
    Artikel: 15 AVG, 843a Rv.
  • Rechtbank Amsterdam 17 september 2024, ECLI:NL:RBAMS:2024:5789 (Beperkte uitleg inzagerecht). 
    Artikel: 15 AVG
  • Rechtbank Overijssel 13 februari 2025, ECLI:NL:RBOVE:2025:846(Toetsing rechtsgrond, inzage en verwijdering van dossier Veilig Thuis Twente).
    Artikelen: 8 EVRM, maar link met 6(1)(e), 15, 17 AVG
  • Raad van State 12 februari 2025, ECLI:NL:RVS:2025:531 (NOvA hoeft geen (huidige) adresgegevens te verstrekken van voormalige advocaat aan oud-cliënt).
    Artikel: 15 AVG
  • Rechtbank Limburg 31 januari 2025, ECLI:NL:RBLIM:2025:778 (UWV mocht 6x persoonsgegevens inzien van betrokkene t.b.v. Polisadministratie, afwijzing)
    Artikel: 17(3)(b) AVG
  • Rechtbank Noord-Holland 11 februari 2025, ECLI:NL:RBNHO:2025:1087 (Verzoek verwijdering uit Schoolleidersregister wordt afgewezen).
    Artikel: 6 lid 1 (b, e, f), art. 17 lid 1 (a, b, c, d) AVG, art. 35 lid 1 UAVG, art. 9.7 CAO PO
    Kort: In de CAO Primair Onderwijs is opgenomen dat schoolleiders zich moeten registreren in het Schoolleidersregister PO. Verzoekster, een geregistreerde schoolleider, heeft herhaaldelijk gevraagd om haar registratie te beëindigen omdat zij van mening is dat zij zelf met haar werkgever zorgt voor haar professionalisering.
    Het meermaals verzoeken om gegevenswissing is niet kennelijk ongegrond of buitensporig (r.o. 5.1–5.2 met verwijzing naar Hoge Raad 15 september 2023, ECLI:NL:HR:2023:1216) . Vervolgens voert de verzoeker vrijwel alle gronden voor verwijdering aan die een voor een worden afgewezen. De grondslag voor de verwerking is weliswaar hier niet art. 6 lid 1 sub b) AVG (r.o. 5.9), noch art. 6 lid 1 sub e) AVG (r.o. 5.11), maar gerechtvaardigd belang van het SPO r.o. 5.15–5.18), ofwel het beroep op art. 17(1)(d) slaagt niet. Vervolgens loopt de rechtbank door alle andere standpunten heen en wijst die ook een voor een af. (r.o. 5.20–5.24). De registratie blijft dus bestaan.
• Overig
  • Rechtbank Zeeland-West-Brabant 10 februari 2025, ECLI:NL:RBZWB:2025:652 (WOZ zaak. Per ongeluk een envelop van iemand anders overlegd. Dit is geen reden aan te nemen dat de persoonsgegevens van belanghebbende elders zouden zijn terechtgekomen.)
  • Rechtbank Gelderland 8 januari 2025, ECLI:NL:RBGEL:2025:624 (Camera’s gericht op perceel van [eiser] moeten worden verwijderd, voor zover deze dat ook daadwerkelijk zijn. De camera’s moeten vaststaand (niet draaibaar) worden gemaakt zodat ze niet perceel van [eiser] filmen.)  
  • Rechtbank Gelderland 12 februari 2025, ECLI:NL:RBGEL:2025:1316 (Camera voor klein gedeelte op perceceel en woning van buren moet weg). 
  • Gerechtshof Amsterdam 28 januari 2025, ECLI:NL:GHAMS:2025:192 (De Zeehondenmail. Werkgever is verwijtbaar omdat het een zodanig werkproces heeft ingeregeld dat als gevolg daarvan een collega toegang heeft kunnen hebben tot de (persoonlijke) mailbox van appellant.). 
  • Rechtbank Den Haag 12 februari 2025, ECLI:NL:RBDHA:2025:1562 (Heimelijke observatie Stichting door Gemeente Delft).
    Artikelen: Art. 843a Rv, art. 8 EVRM, art. 6:162 BW
    Kort: Artikel 8 EVRM bescherming voor een stichting (r.o. 4.11).
  • Rechtbank Midden-Nederland 12 februari 2025, ECLI:NL:RBMNE:2025:388 (Publicatie rapport over grensoverschrijdend gedrag van toenmalig bestuurder publieke publieke omroep wordt tegengehouden, mede omdat privacy van de geïnterviewden daaraan aan de weg staat. Geen redelijke verwachting van integrale publicatie.).
    Artikel: 10 EVRM.
    Kort: Zie met name overweging 4.13 en 4.14. In de laatste wordt een tussenoplossing (namelijk inzage via de eiser, tevens zelf journalist, die vervolgens zelf bepaald wat gepubliceerd gaat worden, ook afgewezen.
  • Rechtbank Amsterdam 17 januari 2025, ECLI:NL:RBAMS:2025:882 (BKR-registratie blijft gehandhaafd ook na afronden WSNP-traject met schone lei.).
    Artikel: 21 AVG
  • Rechtbank Midden-Nederland 29 januari 2025, ECLI:NL:RBMNE:2025:565 (Kentekenregistratie bij vakantiehuizenpark). 
    Artikel: 5 AVG
    Kort: Onvoldoende argumenten aangedragen waarom het vervangen van pasjes door kentekenregistratie niet in overeenstemming zou zijn met artikel 5 AVG.
  • Rechtbank Amsterdam 5 september 2024, ECLI:NL:RBAMS:2024:5524 (Verwerking persoonsgegevens t.b.v. parkeerbelasting valt onder 225 jo 234 Gemeentewet en grondslag 6(1)(e) AVG.). 
    Artikelen: 6(1)(e) AVG. 225, 234 Gemeentewet en 43 Wegenverkeerswet 1994
    Kort: Zie met name overweging 8.4 e.v.
  • Rechtbank Den Haag 14 februari 2025, ECLI:NL:RBDHA:2025:2106 (Verzoeker wil teveel in een procedure. Een allesomvattende situatie met verschillende bestuursorganen over verschillende rechtsgebieden kan niet in een zaak behandeld worden.)
    Artikel: 1:3 Awb
• Gegevensverwerking in de strafrechtelijke context
  • Rechtbank Den Haag 30 januari 2025, ECLI:NL:RBDHA:2025:1229 (Zoekslag voldoende uitgevoerd. Weliswaar had de korpschef van politie meerdere besluiten nodig om aan het informatieverzoek te voldoen en is de motivering pas in een laat stadium verbeterd, maar dat neemt dit oordeel niet weg.)
    Artikelen: 25 en 27 Wpg
  • Raad van State 19 februari 2025, ECLI:NL:RVS:2025:641 (Hoger beroep ongegrond. Rectificatie c.q. verwijdering politieregistratie van Meldformulier Veilig Thuis blijft staan). 
    Artikel: 28 Wpg
  • Gerechtshof Arnhem-Leeuwarden 19 februari 2025, ECLI:NL:GHARL:2025:930 (Handpalmafdruk van verdachte had vernietigd moeten worden. Dit is een schending van de persoonlijke levenssfeer met strafvermindering als gevolg.)
    Artikel: 8 EVRM
  • Rechtbank Zeeland-West-Brabant 21 februari 2025, ECLI:NL:RBZWB:2025:986, ECLI:NL:RBZWB:2025:987, ECLI:NL:RBZWB:2025:988 (Niet voor alle in beslag genomen telefoons was een r-c machtiging toestemming. Wel relativeren overige omstandigheden het verzuim). 
  • Gerechtshof Arnhem-Leeuwarden 12 februari 2025, ECLI:NL:GHARL:2025:496, ECLI:NL:GHARL:2025:497, ECLI:NL:GHARL:2025:498, ECLI:NL:GHARL:2025:501, ECLI:NL:GHARL:2025:505, ECLI:NL:GHARL:2025:506, ECLI:NL:GHARL:2025:533, ECLI:NL:GHARL:2025:534, ECLI:NL:GHARL:2025:539, ECLI:NL:GHARL:2025:564, ECLI:NL:GHARL:2025:573, ECLI:NL:GHARL:2025:574, ECLI:NL:GHARL:2025:575, ECLI:NL:GHARL:2025:586, (Megazaak Eris. Het hof constateert dat uit de procestukken niet ten aanzien van elke gegevensdrager duidelijk wordt of de rechter-commissaris, de officier van justitie of een andere opsporingsambtenaar deze in beslag heeft genomen en is voldaan aan het vereiste van een voorafgaande machtiging van de r-c. Geen vormverzuim.)
    Artikel: 126n Sv. Prokuratuur.
    Kort: In deze reeks uitspraken inzake Megazaak Eris komt het hof tot de conclusie dat niet voor iedere gegevensdrager uit de processtukken duidelijk wordt door wie deze in beslag is genomen. "Daarnaast moet het hof op grond van de processtukken ervan uitgaan dat de politie zonder voorafgaand toezicht door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit onderzoek heeft gedaan aan gevorderde verkeers- en locatiegegevens (anders dan uitsluitend identificerende gegevens)." (r.o. 5.2) Dit levert echter niet een vormverzuim op, gelet op de jurisprudentie van de Hoge Raad 5 april 2022, ECLI:NL:HR:2022:475, r.o. 6.12.4)

• e-Privacy
  • Rechtbank Amsterdam 12 februari 2025, ECLI:NL:RBAMS:2025:885 (Microsoft Ireland Operations Limited en Xandr moeten stoppen met het plaatsen en uitlezen van cookies zonder voorafgaande toestemming.)
    Artikel: 11.7a Tw
    Kort: De 'saga' continues... en de koek is nu goed een wel op bij de voorzieningenrechters. In de vorige editie ging het ook al over dit onderwerp, maar vlak daarna kwam er nog een uitspraak. Ook hier was de voorzieningenrechter duidelijk (r.o. 4.33) :

Het is onbegrijpelijk dat gedaagden het belang van eisers blijven bagatelliseren door, evenals in vorige procedures over deze kwestie, te stellen dat eisers zelf maatregelen tegen de cookies kunnen nemen. Gedaagde miskennen daarmee dat de wetgever heeft gekozen voor een opt-in en niet voor een opt-out. Nog los van het feit dat eisers om begrijpelijke redenen bezwaar hebben tegen het voorstel van gedaagden om bijvoorbeeld integrale cookieblockers te installeren, zijn het gedaagden die het schenden van (grond)rechten dienen te staken en daartoe maatregelen dienen te nemen, niet eisers.

Kifid uitspraken

• Uitspraak Geschillencommissie Kifid nr. 2025-0108
  Kort: Versturen van persoonsgegevens zonder overleg door hypotheekadviseur om een (back-up)renteaanbod aan te vragen bij een andere hypotheekverstrekker. Dit mag van de geschillencommissie (o. 3.9-3.10).
• Uitspraak Geschillencommissie Kifid nr. 2025-0100
  Artikelen : PIFI, 33 lid 2 sub b UAVG
  Kort: IR en GBA registratie. Acht jaar termijn is niet disproportioneel.
• Uitspraak Geschillencommissie Kifid nr. 2025-0099
  Artikelen: Artikel 6 lid 1 sub f) AVG
  Kort: Registratie op de Bancaire Opzeggingshistorie en Verscherpte Acceptatiecriteria-lijst (BOVA-lijst), een lijst waarop 'gegevens worden bewaard van oud-klanten als de relatie is beëindigd in verband met de uitkomst van een Wwft-onderzoek. Als de consument een nieuw product of dienst aanvraagt bij een van de merken van de bank, wordt een signaal gegeven aan de behandelaar van de aanvraag dat er een eerder klantonderzoek beschikbaar is dat niet positief afgerond is'. (o. 3.10) Deze mag volgens Kifid blijven bestaan. (o. 3.12-3.13)
• Uitspraak Geschillencommissie Kifid nr. 2025-0097
  Artikelen : 6 lid 1 sub f) AVG en 21 lid 1 AVG, PFI
  Kort: BKR-coderingen mogen blijven staan (o. 3.5-3.6), IVR en EVR registratie worden verkort naar 6 jaar (o. 3.16 en 3.18).

🇪🇺 EDPB

• EDPB, Recommendations 1/2025 on the 2027 WADA World Anti-Doping Code, 2025
• EDPB, Document on Process guide for the selection and the handling of strategic cases, 2025
  Kort: De EDPB heeft besloten de samenwerking bij strategisch belangrijke zaken te verbeteren en de methoden voor samenwerking te diversifiëren. Het doel is om regelmatig grensoverschrijdende strategische zaken te identificeren en prioriteit te geven aan samenwerking en ondersteuning door de EDPB. De criteria voor strategische zaken zijn:
  • Hoog risico voor rechten en vrijheden: Zaken die een hoog risico vormen voor de rechten en vrijheden van personen in meerdere lidstaten.
  • Structureel of terugkerend probleem: Problemen in meerdere lidstaten, vooral als het gaat om algemene juridische kwesties met betrekking tot de AVG.
  • Kruispunt van rechtsgebieden: Zaken die verband houden met zowel gegevensbescherming als andere rechtsgebieden.
  • Grote impact: Zaken die een groot aantal betrokkenen in meerdere lidstaten raken.
  • Veel klachten: Een groot aantal klachten in meerdere lidstaten.
  • Fundamentele kwesties: Zaken die binnen de strategie van de EDPB vallen.
  • Hoge risico’s volgens AVG: Zaken waarbij een hoog risico kan worden aangenomen, zoals de verwerking van bijzondere categorieën van gegevens, verwerking van gegevens van kwetsbare personen zoals minderjarigen, of gevallen waarin een DPIA vereist is.
• EDPB, Coordinated Supervision Committee Report of Activities 2022-2024, 2025. Het activiteitenverslag 2022-2024 van het Coordinated Supervision Committee (CSC) vat het werk samen dat is uitgevoerd van juli 2022 tot december 2024. Gedurende deze periode zijn enkele acties uit het tweede CSC-werkprogramma afgerond en zijn andere belangrijke gecoördineerde activiteiten opgezet en uitgevoerd.

🇪🇺 EDPS

• Opinion 2/2025 on the Proposals for Council Decisions on the signing and conclusion of the Agreement between the European Union and Brazil on cooperation between Europol and the Federal Police of Brazil

🇳🇱 Autoriteit Persoonsgegevens

• Autoriteit Persoonsgegevens, ‘Brief AP over zorgen wetsvoorstel bestrijding heling en witwassen’
• Autoriteit Persoonsgegevens, Rapportage AI- & Algoritmerisico’s Nederland (RAN) - februari 2025, 2025. Geen tijd om hem helemaal te lezen? Bekijk hier de 'In het kort versie'
• Autoriteit Persoonsgegevens, Position paper AP rondetafelgesprek Woo, 2025.
• Autoriteit Persoonsgegevens, Woo-besluit: Digitaal communiceren met de AP, 2025 (niet ingewilligd).
• Wetgevingsadviezen:
  • Autoriteit Persoonsgegevens, Toets Wijziging tijdelijke regeling signaal betalingsachterstanden, 2025.
  • Autoriteit Persoonsgegevens, Advies wijziging Sr en Sv in verband met bestrijding heling, 2025.
• Autoriteit Persoonsgegevens, Advies AP over amendement nieuwe Archiefwet, 2025.
• Autoriteit Persoonsgegevens, Toets wijziging Uitvoeringsbesluit kostenverrekening en gegevensuitwisseling Wet WOZ, 2025.
• Autoriteit Persoonsgegevens, Toets wijziging BW elektronisch cognossement, 2025.

🧠 Rathenau instituut

Rathenau Instituut heeft onlangs een Rathenau Scan over Neurotechnologie uitgebracht.
Auteurs: Sophie van Baalen, Rosanne Edelenbosch, Luuk Ex, Bo Hijstek, Freek van der Weij

Wat is het? Neurotechnologie, door het Rathenau gedefinieerd als een parapluterm voor verschillende technieken om hersenactiviteit te meten en/of te beïnvloeden. (blz. 2) wint aan populariteit.
Aanleiding voor het Rathenau om een Rathenau Scan hierover te maken is drievoudig : (1) het aanbod van apparaten die werken met neurotechnologie voor consumenten groeit, (2) de technologische ontwikkelingen die ervoor zorgen dat het gebruik van neurotechnologie buiten het medische domein laagdrempeliger wordt, ook door niet-medisch opgeleide personen. Laatstelijk (3) de internationale ethisch-juridische discussie over de noodzaak van het uitbreiden van bestaande mensenrechtenkaders met specifieke 'neurorechten'. (blz. 2). In het rapport staat ondermeer de volgende passage :

Ongelijkheid van privacywetgeving
Voor de korte termijn gelden risico’s die te maken hebben met het verzamelen, opslaan, verwerken en analyseren van neurodata. Hierop zijn met name de Europese AVG en de AI-verordeningen van toepassing. Het is waarschijnlijk dat neurodata en de informatie die eruit afgeleid kan worden over persoonlijke voorkeuren, buiten bepaalde specifieke contexten zoals gezondheid of politiek, onvoldoende beschermd worden door deze wetten. Wanneer de neurodata in de AVG onder de categorie gezondheidsgegevens of bijzondere persoonsgegevens vallen en de privacy van betrokkenen dus extra beschermd wordt, is onduidelijk. Niet-pathologische, emotionele informatie en affectieve mentale toestanden vallen mogelijk buiten deze bescherming. Daarnaast brengen neurodata inherente uitdagingen mee ten aanzien van de basisvereisten van de AVG: transparantie en geïnformeerde toestemming, proportionaliteit, dataminimalisatie, doelbinding en juistheid. Als de neurodata vervolgens geanalyseerd worden, kan de AI-verordening een rol spelen. Dit geldt echter alleen voor hele specifieke toepassingen, onder voorwaarden die vaag geformuleerd zijn, en waarbij veel uitzonderingen en een regime van zelfbeoordeling gelden. Veel gaat afhangen van de implementatie in standaarden en richtlijnen. (blz. 7)

🏢 Overheidsnieuws :

• De lancering van een register voor Functionarissen voor Gegevensbescherming
  "Om de positie van de functionaris voor gegevensbescherming (FG) te versterken en de kwaliteit te borgen, [zoals ook stond aangekondigd in het Regeerprogramma, p. 88, AB] wordt momenteel gewerkt aan een kwaliteitsregister voor en door FG’s. Alle inspanningen zijn erop gericht om in de loop van 2025 te komen tot de daadwerkelijke oprichting van het Nederlands (voorheen Nationaal) Register voor Functionarissen voor Gegevensbescherming (NRFG)", aldus het nieuwsbericht.
  In de loop van de komende weken zal er worden gewerkt aan een webpagina met meer informatie, waaronder een FAQ pagina.
• Rijksbreed AVG-onderzoek 2024.
  Deelrapporten van de Auditdienst Rijk (ADR) over het rijksbrede AVG-onderzoek naar de inrichting en implementatie van privacy by design & default en de opvolging en monitoring van de resultaten uit Data Protection Impact Assessment (DPIA's).
  • Deelrapport BZK
  • Deelrapport VWS
• Kamerstukken II, 2024-2025, 23 645, nr. 834, Brief staatssecretaris van I&W inzake stand van zaken sociale veiligheid in het ov :

Toegang tot identificatiemogelijkheden
De Ministeries van JenV en IenW werken samen aan het openstellen van het rijbewijzenregister voor (OV-)boa’s. De Kamer is op 27 november jl. geïnformeerd over de voorgenomen versnelling, waardoor boa’s in het OV-domein eerder toegang krijgen tot de pasfoto’s uit het rijbewijzenregister en aan de hand daarvan een zelfstandigere identiteitscontrole kunnen uitvoeren. Toegang verlenen tot bijzondere persoonsgegevens vergt tijdrovende processen omdat wetgeving op het gebied van privacy hoge eisen stelt. Tijdens het CD Spoor van 15 januari jl. heb ik aan het Kamerlid Veltman toegezegd haar motie over de ID-check en de Rotterdamse werkwijze niet als afgedaan te beschouwen en daar schriftelijk op terug te komen in de reactiebrief van JenV en IenW op het eerdergenoemde OV-NL rapport. De Minister van JenV en de Staatssecretaris van IenW hebben, naast de specifieke inzet om (OV-)boa’s meer identificatiemogelijkheden te bieden, op 15 november gesproken over het belang van veilig OV. Daarbij werd de kabinetsambitie herhaald, de onderlinge verantwoordelijkheden besproken en het belang van brede samenwerking benadrukt. Ook is het Ministerie van JenV gestart met een publiekscampagne om geweld en agressie tegen hulpverleners tegen te gaan. (blz. 3)

Voortgang Centrale Database Taxivervoer. Naar aanleiding van kritiek van de Autoriteit Persoonsgegevens over de opvolger van de Boordcomputer Taxi: De Centrale Database Taxivervoer (CDT). Dit heeft geleid tot aanpassingen van het systeem, namelijk dat de aankomstlocatie van een taxirit niet meer zal worden geregistreerd. De streefdatum voor inwerkingtreding van de CDT is vooralsnog 1 juli 2025. (blz. 8)

• Brief CTIVD inzake publiek-private samenwerking en reactie daarop van ministers BZK en Defensie
  Oordeel CTIVD ↓

De door de diensten gekozen wettelijke grondslag voor publiek-private samenwerking(en) op het terrein van cyberveiligheid bestaat erin dat het verkrijgen van gegevens plaatsvindt op grond van artikel 39 Wiv 2017 en het verstrekken van gegevens wordt gegrond op artikel 62 Wiv 2017. De CTIVD acht met name het verstrekken van gegevens op grond van artikel 62 Wiv 2017 in de huidige omstandigheden ontoereikend en daarmee onrechtmatig. (blz. 2) (...) De CTIVD erkent dat een noodzaak kan bestaan voor de genoemde publiek-private samenwerking(en) in het cyberdomein. Wel maakt de CTIVD zich zorgen over de gekozen juridische inbedding die tekortschiet in belangrijke waarborgen. (blz. 4)

De ministers geven aan in hun reactie dat ze het niet eens zijn met de CTIVD. Artikel 62 Wiv 2017 zou geen onderscheid maken tussen incidentele en structurele verstrekkingen en biedt voor beiden een grondslag, aldus de Ministers. (blz. 3-4)

• Beantwoording van kamervragen inzake delen van persoonsgegevens via gebruik Google Analytics op werkenvoornederland.nl en specifieke sollicitatieprocedures.
  De Minister : "Hoewel de AP nog geen definitieve uitspraak heeft gedaan, is het duidelijk dat er zorgen zijn over de privacy-implicaties van het gebruik van Google Analytics. Mocht de AP besluiten dat het gebruik van Google Analytics in de huidige vorm niet langer is toegestaan, dan zal ik hier uiteraard gevolg aan geven." (blz. 7) De vorm die overigens wordt gebruikt voor werkenvoornederland.nl is blijkens de antwoorden dat alleen op landenniveau IP-adressen gedeeld worden in Google Analytics 4, de specifieke sollicitatieprocedures verlopen via een ander platform, aldus de Minister.

🇳🇱 Wetsvoorstellen :

• Kamerstukken II 2024-2025, 35447, 31 - Regels omtrent gegevensverwerking door samenwerkingsverbanden (Wet gegevensverwerking door samenwerkingsverbanden) - Verslag schriftelijk overleg
• Kamerstukken II 2024-2025, 36584, 24 (Wijzigingswet beperking toegang UBO-register), Brief van de minister van Financiën
• Kamerstukken II 2024-2025, 36584, 20 (Wijzigingswet beperking toegang UBO-register), Tweede nota van wijziging
• Kamerstukken II 2024-2025, 36584, 19 (Wijzigingswet beperking toegang UBO-registers), Motie van het Lid Flach
• Kamerstukken II 2024-2025, 36584, 18 (Wijzigingswet beperking toegang UBO-registers), Motie van het Lid Flach c.s.
• Kamerstukken II 2024-2025, 36584, 17 (Wijzigingswet beperking toegang UBO-registers), Motie van het Lid Aukje de Vries
• Kamerstukken II 2024-2025, 36584, 16 (Wijzigingswet beperking toegang UBO-registers), Motie van het Lid Aukje de Vries
• Kamerstukken II 2024-2025, 36584, 15 (Wijzigingswet beperking toegang UBO-registers), Motie van Leden Six Dijkstra en Idsinga
• Kamerstukken II 2024-2025, 35968, nr. 30, (Intrekking van de Archiefwet 1995 en vervanging door een nieuwe Archiefwet (Archiefwet 20..)), Nader gewijzigd amendement van de leden Diederik van Dijk en Van Zanten ter vervanging van nr. 24 over het zo spoedig mogelijk treffen van een voorziening om documenten uit oorlogsarchieven na 75 jaar openbaar en digitaal raadpleegbaar te maken met de mogelijkheid van een belangenafweging in bijzondere gevallen
• Kamerstukken II 2024-2025, 35968, nr. 28, (Intrekking van de Archiefwet 1995 en vervanging door een nieuwe Archiefwet (Archiefwet 20..)), bijlage, Advies Autoriteit Persoonsgegevens over het gewijzigd amendement van de leden Diederik van Dijk en Van Zanten ter vervanging van nr. 21 over het zo spoedig mogelijk treffen van een voorziening om documenten uit oorlogsarchieven na 75 jaar openbaar en digitaal raadpleegbaar te maken met de mogelijkheid van een belangenafweging in bijzondere gevallen
• Kamerstukken II 2024-2025, 35534, nr. 11. Voorstel van wet van het lid Podt houdende toetsing van levenseindebegeleiding van ouderen op verzoek en tot wijziging van het Wetboek van Strafrecht, de Wet op de beroepen in de individuele gezondheidszorg en enkele andere wetten (Wet toetsing levenseindebegeleiding van ouderen op verzoek), Brief van de initiatiefnemer met een reactie op het door de Autoriteit Persoonsgegevens (AP) uitgebrachte advies op onderhavig wetsvoorstel.
• Kamerstukken II 2024-2025, 36663, nr. 7. Brief van de tijdelijke commissie Grondrechten en constitutionele toetsing over een advies over het wetsvoorstel Wijziging van de Leerplichtwet 1969 en enige andere onderwijswetten in verband met het voorkomen en het terugdringen van verzuim in het funderend onderwijs en het beroepsonderwijs (Wet terugdringen schoolverzuim)

Ten aanzien van het recht op privacy valt op dat de regering in de memorie van toelichting weliswaar ingaat op de verhouding van het wetsvoorstel tot de Algemene verordening gegevensbescherming (AVG), maar geen aandacht besteedt aan privacybepalingen uit de Grondwet (art. 10) en het EVRM (art. 8). De tijdelijke commissie geeft de leden daarom in overweging om bij de regering aandacht te vragen voor een meer expliciete behandeling van de relevante grondrechten, inclusief de vrijheid van onderwijs, het recht op onderwijs en de privacybepalingen uit de Grondwet en het EVRM. (blz. 1-2)

📣 Internetconsultaties

• Besluit van school naar duurzaam werk en de Regeling regionaal programma en Doorstroompuntfunctie 2026-2029
  Deadline: 14-03-2025
• Cyberbeveiligingsbesluit
  Deadline: 27-03-2025

In artikel 30, eerste lid, Cbb is bepaald dat de persoonsgegevens die door het CSIRT, het centrale contactpunt en de Minister van Justitie en Veiligheid bij of krachtens de Cbw worden verwerkt, maximaal 60 maanden worden bewaard. (p 18, Nota van toelichting)

• Besluit weerbaarheid kritieke entiteiten
  Kort : In het Besluit weerbaarheid kritieke entiteiten worden regels uit de Wet weerbaarheid kritieke entiteiten uitgewerkt. De meeste regels uit het Besluit weerbaarheid kritieke entiteiten zien op de uitwerking van de zorgplicht (de verplichting om maatregelen te treffen ter verhoging van de weerbaarheid).
  Deadline: 27-03-2025

Artikel 18 (bewaring van persoonsgegevens)
De persoonsgegevens die door de bevoegde autoriteit, Onze Minister en het centrale contactpunt bij of krachtens de wet worden verwerkt, worden niet langer bewaard dan noodzakelijk is ter uitvoering van hun taken op grond van de wet, doch uiterlijk binnen 60 maanden na de eerste verwerking verwijderd.
In afwijking van het eerste lid worden de persoonsgegevens die door de bevoegde autoriteit met het oog op het toezicht op de naleving van het bepaalde bij of krachtens de wet worden verwerkt, niet langer bewaard dan noodzakelijk daarvoor is, doch uiterlijk binnen 120 maanden na de eerste verwerking verwijderd.

• Wijziging Arbeidsomstandighedenwet in verband met een vergunningplicht voor bepaalde asbestwerkzaamheden
  Deadline: 02-04-2025

De in dit wetsvoorstel opgenomen vergunningplicht voor bedrijven om bepaalde asbestgerelateerde werkzaamheden te mogen verrichten, zal leiden tot de verwerking van  persoonsgegevens. Het gaat hierbij dan allereerst om de gegevens van concrete personen die namens een bedrijf een vergunning hebben aangevraagd. Van deze personen zijn bepaalde gegevens nodig om contact te kunnen onderhouden over de ingediende aanvraag voor een (p. 23)

❇️ AI-verordening ontwikkelingen

• Autoriteit Persoonsgegevens, Reacties en vervolgstappen oproep verbod emotieherkenning op de werkplek of in het onderwijs, 2025.
• Autoriteit Persoonsgegevens, Oproep tot input: AI-systemen voor risicobeoordelingen strafbare feiten, 2025.

📚 Vakliteratuur

• T.F. Walree, 'Autonoom of autonomie? Een analyse van elf arresten van het Hof van Justitie over artikel 82 AVG', Tijdschrift voor Europees en economisch recht 2025, afl. 2, p. 69-84
• Er is weer een nieuwe Privacy & Informatie met onder meer :
  • H.L. Janssen, De Commissie Persoonsgegevens Amsterdam: adviesmodel voor complexe gegevensverwerkingen door overheden? [open access]
  • C.W.J.M. Ebbers, Gaan integraal werken en privacy samen? (2)
  • J. Janssen, Privacy en Private Handhaving van DNS-misbruik onder NIS2
  • J.M. van der Veen, De ruime uitleg van gezondheidsgegevens en de AVG als instrument voor concurrenten tegen oneerlijke handelspraktijken (HvJ EU 4 oktober 2024, C-21/23, ECLI:EU:C:2024:846 (Lindenapotheke))
  • E. Troll, Is ‘verlies van controle’ over persoonsgegevens genoeg voor het verkrijgen van immateriële schadevergoeding? (Bundesgerichtshof 18 november 2024, VI ZR 10/24)
  • M. Smit, Voice cloning bij de uitvoering in het sociaal domein
• Een reactie op de bijdrage van Vlieger van P&I 2024/6 door E.B. van Veen, Grounded theory of drijfzand? Reactie op Vlieger ‘De EHDS en het grondslagenprobleem van wetenschappers’ en het naschrift van Vlieger, De EHDS, wetenschap, recht, ethiek, belangen en perceptie

Editie #4 komt op 10 maart 2025
Tot dan!